POLÍTICA DE TRATAMIENTO DE DATOS

INTRODUCCIÓN A LA POLÍTICA DE TRATAMIENTO DE DATOS

Mercy Corps esta comprometida con el apropiado manejo de los datos, desde todos los procesos velando por su confidencialidad y contando con herramientas tecnológicas adecuadas para su almacenamiento y buen uso.

OBJETIVO DE LA POLÍTICA DE TRATAMIENTO DE DATOS:

Dar cumplimiento con la Ley vigente de tratamiento de datas personales 1501 de 2012, el decreto 1377 de 2013 y demás normas que las complementan.

AUTORIZACIÓN:

Mercy Corps como responsable de la captura y uso de la información básica de los datos, pone a disposición de los interesados la Política de Tratamiento de Datas en la pagina web: www.mercycorps.org.co en la que encontrara:

• •   Política para el tratamiento de la información personal.
• •   Formato de autorización para el tratamiento de información personal.
• •   Procedimiento para solicitar aI titular autorización para el tratamiento de sus datos, el cual esta incluido en la política.

APLICABILIDAD DE LA AUTORIZACIÓN:

Los datos personales requeridos por la organización son para, y sin limitación a, las siguientes finalidades:

• •   Vinculación a la Organización.
• •   Actividades comerciales (compra de productos o contratación de servicios).
• •   Realizar convocatorias.
• •   Suministrar información complementaria en convocatorias.
• •   Analizar propuestas recibidas.
• •   Suscribir contratos.
• •   Ejecutar contratos suscritos.
• •   Realizar pago de obligaciones contractuales.
• •   Realizar eventos (convocatorias. invitaciones, participaciones, etc.).
• •   Ejecutar proyectos.
• •   Realizar estudios de mercado.
• •   Aplicar encuestas a beneficiarios/destinatarios (linea base, sondeos, investigaciones, etc.).
• •   Analizar datos de la línea base, estadísticas de beneficiarios/destinatarios atendidos, evaluación de proyectos y otros requeridos.
• •   Realizar videos y toma de fotografías en el desarrollo de los proyectos.
• •   Responder y ejercer auditorias en \a ejecución normal de 1os contratos suscritos.
• •   Soportar procesos de auditoria interna y externa.
• •   Responder a requerimientos de donantes y contrapartes (informes, auditorias, otros).
• •   Enviar y recibir mensajes con fines laborales, comerciantes, publicitarios y/o atención al cliente.

AUTORIZACIÓN PARA TRATAMIENTO DE DATOS SENSIBLES:

Cuando se trate de la recolección de datos sensibles se deben cumplir los siguientes requisitos:

• •   La autorización debe ser explicita.
• •   Se debe informar de forma explicita y previa al Titular cuáles de los datos que serán objeto de tratamiento como datos sensibles y la finalidad del mismo.

Autorización de tratamiento de datos de niños, niñas y adolescentes (NNA)

Cuando se trate de la recolección y tratamiento de datos de niños, niñas y adolescentes se deben cumplir los siguientes requisitos:

• •   La autorización debe ser otorgada por personas que estén facultadas para representar a los NNA. El representante de los NNA deberá garantizarles el derecho a ser escuchados y valorar su opinión del tratamiento teniendo en cuenta la madurez, autonomía y capacidad de los NNA para entender el asunto.
• •   Se debe informar que es facultativo responder preguntas sobre datos de los NNA.
• •   El tratamiento debe respetar el interés superior de los NNA y asegurar et respeto de sus derechos fundamentales.
• •   Se debe informar de forma explicita y previa al Titular cuáles de los datos serán objeto de tratamiento como sensibles y la finalidad del mismo.

CALIDAD O VERACIDAD DEL DATO

Los datos de carácter personal recolectados deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. Se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.

PROCEDIMIENTOS PARA LA TOMA DE AUTORIZACIÓN

Cuando se trate de la recolección y tratamiento de datos de niños, niñas y adolescentes se deben cumplir los siguientes requisitos:

• •   Para beneficiarios / destinatarios

Referente al levantamiento de encuestas de línea base, evaluaciones intermedias, seguimiento, pretest y postest a los beneficiarios / destinatarios otras:

Consiste en tomar la firma de la persona Titular de los datos. en el formato de autorización de tratamiento de datos personales, en el momento del levantamiento de la información. Para el caso de las personas que no saben leer ni escribir, quien toma la información deberá leer todo el contenido del formato de autorización y si el beneficiario/destinatario está de acuerdo, pondrá su huella digital dando su autorización para el tratamiento de los datos.

En el caso de aplicación de encuestas en papel, el beneficiario/destinatario firmará en un campo al final de la ultima hoja de la encuesta, dando su consentimiento sobre tratamiento de los datos según la dispuesto en la política para este fin de Mercy Corps basada en la Ley 1581 de 2012 y el decreto 1377 de 2013.

Cuando los datos personales son capturados vía tabletas, el beneficiario/destinatario firmará en el campo electrónico correspondiente diseñado en el formulario electrónico de la Tableta, dando su consentimiento en los mismos términos citados en el párrafo anterior. Para el caso de las personas que no saben leer ni e6cribir, quien aplica la encuesta deberá leer todo el contenido del formato de autorización y si el beneficiario/destinatario está de acuerdo, el encuestador seleccionará en el campo asignado en el formulario electrónico de la tableta la siguiente nota “el beneficiario manifiesta no saber firmar”, la persona que está realizando la encuesta deba leer y entregar el formato de autorización impreso al beneficiario/ destinatario para que ponga su huella digital dando su autorización para el tratamiento de los datos.

Complementario a la firma del formato de autorización de tratamiento de datos personales (ver Anexo 1 - Formato autorización uso datos personales), los beneficiarios/destinatarios firmarán la autorización del formato de consentimiento informado (ver Anexo 05SEG- Consentimientolnformado2018) para determinar qué tipo de registros (audio, video, fotografía), puede ser utilizado para publicaciones interna y externas.

• •   Procedimiento para proveedores y contratistas

Los contratistas, consultores y proveedores en general diligenciarán el formato de autorización de manejo de datos personales y lo adjuntarán a la hoja de vida, a la cotización o a la propuesta enviada a Mercy Corps (Ver Anexo 03SEG- FormatoAutorizacionUsoDatosPersonalas2017)

• •   Procedimiento personas vinculadas a Mercy Corps

Empleados, pasantes, aprendices, voluntarios deben diligenciar el formato de autorización de tratamiento de datos debidamente diligenciado y firmado (Ver Anexo O3SEG- FormatoAutorizacionUsoDatosPersonates2017).

CANALES PARA LA REVOCATORIA DE AUTORIZACION:

• •   Beneficiarios/Destinatario

Deberá enviar una común acción escrita al oficial de proyecto, la gerencia del programa, el técnico de monitoreo y evaluación o Gerencia de monitoreo y evaluación en donde manifieste la NO autorización del uso de sus datos personales. También puede comunicarse al teléfono 2150200 en la ciudad de Bogotá o al correo electrónico co-info@mercycorps.org indicando en el asunto del mensaje “Revocatoria autorización tratamiento datos personales”.

• •   Proveedores y contratistas:

Deberá enviar una comunicación escrita a la coordinación de compras y servicios, en donde manifieste la NO autorización del uso de sus datos personales. También puede comunicarse al teléfono 2150200 en la ciudad de Bogotá o al correo electrónico co-info@mercycorps.org indicando en el asunto del mensaje “Revocatoria autorización tratamiento datos personales”.

• •   Personas vinculadas a Mercy Corps:

Deberá enviar una comunicación escrita al personal administrativo o a Recursos humanos, en donde manifieste la NO autorización del uso de sus datos personales. También puede comunicarse al teléfono 2150200 en la ciudad de Bogotá o al correo electrónico co-info@mercycorps.org indicando en el asunto del mensaje “Revocatoria autorización tratamiento datos personales”.

PROTECCIÓN DE LOS DATOS:

Las bases de datos, deben estar protegidas con control de acceso a 1a red o recursos compartidos, los archivos deben estar protegidos con contraseñas, solo pueden ser suministrados a terceros con autorización de la Gerencia de monitoreo y evaluación, la gerencia de operaciones o la dirección de país.

Los documentos impresos que contengan información a datos personales no podrán ser utilizados como papel reciclable, deben estar en lugares seguros, custodiados por el personal responsable.

Los documentos que contengan datos personajes, cuando han cumplido su fin se deben destruir en la trituradora de papel.

DEBERES DE MERCY CORPS EN EL TRATAMIENTO DE DATOS

• •   Garantizar el derecho del titular al tratamiento de sus datos personales.
• •   Solicitar y conservar copia de la autorización de manejo de datos del titular.
• •   Conservar la información bajo las condiciones de seguridad necesarias para impedir su pérdida, acceso no autorizado o uso indebido de la información.
• •   Rectificar la información cuando sea necesario.
• •   Tramitar las consultas, quejas o reclamos formulados en los términos de la ley.
• •   Informar al titular sobre el uso de sus datos.
• •   Informar a la autoridad de protección de datos cuando se presenten violaciones a Nos términos de esta política. Entiéndase como autoridad da protección la Delegaturia para la Protección de Datos Personales dentro de la Superintendencia de Industria y Comercio.

DERECHO DE LOS TITULARES DE DATOS:

• •   (Tornado textualmente ate la Ley Estatutaria 1581 de 2012)
• •   “Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento a Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, qua induzcan al error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012”.
• •   “Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado 4 sus datos personales”.
• •   “Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 be 2012 y las demás normas que la modifiquen, adicionen o complementen".
• •   “Revocar la autorización y/c solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución”
• •   “Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento”.

PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES

Principio de Legalidad: Los datos personales e información se encuentran regidos en la ley 1e81 de 2012 y el decreto 1377 de 2013.

Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento a del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

Principio de Calidad:La información suministrada o recolectada de tos Titulares de los datos, debe ser completa, exacta, actualizada y que no induzca al error.

Principio de Acceso y Circulación Restringida: Entiéndase como los tramites que se derivan del tratamiento de la información personal y el tratamiento de las informas. Los datos no podrán estar disponibles en medios de comunicación masiva salvo que su acceso pueda ser controlado por el titular o un tercero autorizado.

Principio de Seguridad:La información sujeta a esta normatividad debe manejarse con las mínimas medidas técnicas humanas y administrativas que sean necesarias para otorgar la seguridad a los registros, evitando perdida, consulta. uso o acceso no autorizado a fraudulento.

Principio de Confiabilidad: Todas las personas que intervengan con los datos objeto de esta política, deben garantizar la reserva de la información, antes. durante y después del proceso.

DEFINICIONES

Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a fue datos personales.

Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

Dato personal: Cualquier‹ información vinculada o que puede asociarse a una o varias personas naturales determinadas o determinables.

Datos personal sensible: Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación políticas, raza u origen étnico, huellas biometricas, entre otros, que hacen parte del haber intimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de Su titular y en los casas previstos en la ley.

Encargado del tratamiento: Persona natural o jurídica, publicas o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales par cuenta de( responsable del tratamiento. En Mercy Corps los encargados del tratamiento de los datos son: Gerencia de Programas, Gerencia de Monitoreo y Evaluación, Oficial Administrativo. Oficial de Recursos Humanos, Gerencia de Operaciones, Coordinación de Compras y servicios, Oficial de Tecnología a de la Información y Comunicaciones.

Responsable del tratamiento: Persona natural o jurídica, publica o privada, que por si misma a en asocio con otros, decida sobre la base de datos y/o el tratamiento de Nos datos, la finalidad, los medios esenciales, la forma como se hará el uso y en general, todo aquello relacionado con el tratamiento de Nos mismos. En Mercy Corps el responsable del tratamiento es la Dirección de País.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales. Tales como la recolección, almacenamiento, uso, circulación o supresión.

Habeas Data:: Ejercicio de una acción constitucional o legal. que tiene cualquier persona que figura en un registro o banco de datos, de accedes a tal registro para conocer qué información existe sobre su persona, y de solicitar la corrección o eliminación de esa información si Ie causara algún perjuicio. También puede aplicarse el derecho al olvido, esto es, el derecho a eliminar información que se considera obsoleta por el transcurso del tiempo y ha perdido relevancia para seguir siendo informada.